명명된 식
사용자 디렉터리에는 조직 정보, 사용자 및 그룹 특성, 개별 자격 증명 등의 사용자 특성이 저장됩니다. 일부 사용자 특성 값은 사용자 디렉터리에서 바로 읽을 수 있지만 다른 값은 필요할 때마다 계산되어야 합니다. 이러한 계산은 명명되거나 명명되지 않은 식으로 저장됩니다.
casso126kkr
사용자 디렉터리에는 조직 정보, 사용자 및 그룹 특성, 개별 자격 증명 등의 사용자 특성이 저장됩니다. 일부 사용자 특성 값은 사용자 디렉터리에서 바로 읽을 수 있지만 다른 값은 필요할 때마다 계산되어야 합니다. 이러한 계산은 명명되거나 명명되지 않은 식으로 저장됩니다.
명명된 식
은 이름으로 참조하는 정책 저장소 개체입니다. 이 식은 응용 프로그램 개체에 정의된 보안 정책에서 재사용할 수 있습니다. 명명되지 않은
식
은 응답과 마찬가지로 도메인 개체에 저장됩니다. 이 식은 기존 보안 정책에서 사용하기 위한 규칙입니다.casso126kkr
참고:
명명된 식은 응용 프로그램 개체에서만 사용할 수 있습니다. 명명된 식은 응답 및 규칙과 같은 도메인 개체를 사용하여 정의된 기존 보안 정책에는 사용할 수 없습니다
.명명된 식과 명명되지 않은 식 모두는 계산된 사용자 특성의 값을 결정하는 데 사용됩니다.
명명된 식을 생성하려면 관리자에게 적절한 권한이 있어야 합니다.
casso126kkr
참고:
활성 식과 명명된 식은 동일하지 않습니다. 두 유형의 식은 모두 런타임에 평가되지만 다음과 같은 차이점이 있습니다.- 활성 식은 부울 식인 반면, 명명된 식은 문자열, 숫자 또는 부울 값을 반환할 수 있습니다.
- 활성 식은 있는 그대로 참조되고 사용할 때마다 다시 입력해야 하는 반면, 명명된 식은 이름으로 참조되며 어느 위치에서나 참조되고 재사용될 수 있습니다.
2
명명된 식의 이점
명명된 식은 다음과 같은 이점이 있습니다.
- 명명된 식은 이름으로 참조되고 재사용될 수 있는 정책 저장소에 개체로 저장됩니다.
- 시스템 관리자는 명명된 식을 각각 한 번씩만 생성하면 됩니다. 도메인 관리자는 기본 식이 아니라 식 이름을 참조하여 사용자 정보를 가져옵니다. 따라서 관리자는 사용자 정보가 필요할 때마다 전체 식을 다시 입력할 필요가 없습니다.
- 시스템 관리자는 명명된 식을 한 곳에서 생성하고 관리합니다. 식을 변경해야 할 경우 관리자가 한 번만 변경하면 됩니다.
- 비즈니스 논리에 따라 식을 변경해야 할 경우 시스템 관리자가 식을 한 번만 변경하면 됩니다. 도메인 관리자는 기본 식의 변경 여부에 관계없이 계속해서 식 이름을 참조할 수 있습니다.
- 적절한 권한이 있는 관리자만 명명된 식을 생성할 수 있습니다. 명명된 식은 권한 있는 기본 제공 함수뿐 아니라 개인 식으로 표시된 식을 포함한 모든 명명된 식을 호출할 수 있습니다. 예를 들어 명명된 식에서는 현재 사용자를 그룹에 추가하는 개인 식을 호출할 수 있지만 명명되지 않은 식에서는 그럴 수 없습니다. 이 제한으로 인해 도메인 관리자는 현재 사용자를 관리 그룹에 추가하는 등의 방법으로 보안을 바이패스할 수 없습니다.
명명된 식 정의
명명된 식은 응용 프로그램 개체에 정의된 보안 정책에서 이름으로 참조되고 재사용될 수 있는 정책 저장소 개체입니다.
casso126kkr
참고:
명명된 식은 응용 프로그램 개체에서만 사용할 수 있습니다. 명명된 식은 응답 및 규칙과 같은 도메인 개체를 사용하여 정의된 기존 보안 정책에는 사용할 수 없습니다
.Single Sign-On
은 명명된 식을 평가하여 계산된 사용자 특성의 값을 결정합니다.명명된 식에는 다음 두 가지 유형이 있습니다.
가상 사용자 특성
가상 사용자 특성을 사용하면 재사용 가능한 식을 정의하여 사용자 정보를 계산할 수 있습니다. 이 유형의 식은 사용자 특성이 사용자 디렉터리에서 고유하게 참조되지 않는 경우에 사용합니다. 이 경우 사용자 특성은 특성과 비즈니스 논리에 의해 설정된 다른 기준을 사용하여 계산되어야 합니다.
가상 사용자 특성은 다음 데이터 형식의 값을 반환하는 식을 명명합니다.
- 문자열
- 숫자
- 부울
가상 사용자 특성은 "파운드" 기호(#)로 시작합니다. "파운드" 기호는 이름이 사용자 특성 이름 및 매핑과 충돌하지 않도록 하며 해당 사용자 특성 값이 계산된다는 것을 시각적으로 알려 줍니다.
가상 사용자 특성 식에는 다음 항목이 포함될 수 있습니다.
- 사용자 특성(디렉터리별 특성 또는 매핑된 특성)
- 다른 명명된 식에 대한 참조
- 기본 제공 함수 및 식 구문
casso126kkr
참고:
명명된 식은 응용 프로그램 개체에서만 사용할 수 있습니다. 명명된 식은 응답 및 규칙과 같은 도메인 개체를 사용하여 정의된 기존 보안 정책에는 사용할 수 없습니다
.가상 사용자 특성 사용 사례
이 사용 사례에서는 두 개의 LDAP 사용자 디렉터리가 서로 다른 기본 스키마를 사용하여 사용자의 이름과 성을 식별하는 기본 시나리오를 보여 줍니다.
다음 그림에서는 사용자 특성 매핑을 통해 서로 다른 사용자 디렉터리에 있는 사용자에 대해 가상 사용자 특성
#SortName
(LastName,FirstName)이 계산되는 방식을 보여 줍니다. 사용자 특성 매핑을 사용하면 하나의 일반 이름을 서로 다른 사용자 디렉터리에 있는 다양한 사용자 특성 이름에 매핑할 수 있습니다.
- 두 사용자 디렉터리에서는 사용자의 이름과 성이 서로 다르게 식별됩니다. 사용자 특성 매핑을 생성하여 이러한 정보의 공통 보기를 생성할 수 있습니다.
- FirstName은 디렉터리 A와 디렉터리 B에 있는 사용자의 이름을 식별하는 기본 디렉터리 스키마에 매핑됩니다.
- LastName은 디렉터리 A와 디렉터리 B에 있는 사용자의 성을 식별하는 기본 디렉터리 스키마에 매핑됩니다.
- #SortName은 다음 식을 사용하여 두 디렉터리 모두에 있는 사용자의 정렬 이름을 계산할 수 있는 가상 사용자 특성입니다.(LastName + "," + FirstName)
- (LastName + "," + FirstName) 식을 반복해서 입력하는 대신#SortName이라는 가상 사용자 특성을 생성하고 이를 (FirstName + "," + LastName)으로 정의할 수 있습니다. 그런 다음 이 식이 필요할 때마다#SortName을 입력하면 됩니다.
가상 사용자 특성 정의
가상 사용자 특성을 정의하여 하나 이상의 사용자 디렉터리에서 고유하게 참조하지 않는 사용자 정보를 계산할 수 있습니다.
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다.다음 단계를 수행하십시오.
- "정책", "식"을 차례로 클릭합니다.
- "명명된 식"을 클릭합니다.
- "명명된 식 만들기"를 클릭합니다.
- 새 개체 만들기 옵션이 선택되어 있는지 확인하고 "확인"을 클릭합니다.참고:"도움말"을 클릭하면 해당되는 각 요구 사항과 제한을 포함하여 설정과 컨트롤에 대한 설명을 볼 수 있습니다.
- "가상 사용자 특성" 옵션을 선택하고 "일반" 영역에 식의 이름을 입력합니다.
- "명명된 식 추가" 영역의 "식" 필드에 식을 입력합니다.
- (선택 사항) "명명된 식 추가" 영역에서 "사용 안 함" 옵션을 선택하여 식을 비활성화합니다. 비활성화된 식은 식 편집기에 나열되지 않으며 다른 명명된 식이나 명명되지 않은 식이 이 식을 호출할 수 없습니다.
- (선택 사항) "명명된 식 추가" 영역에서 "개인" 옵션을 선택합니다. 다른 명명된 식만 개인 식을 호출할 수 있습니다. 명명되지 않은 식은 개인 식을 호출할 수 없습니다.
- (선택 사항) "명명된 식 추가" 영역에서 "편집"을 클릭하여 식 편집기를 엽니다.
- 제출을 클릭합니다.명명된 식이 생성됩니다.
사용자 클래스
사용자 클래스를 사용하면 재사용 가능한 식을 정의하여 사용자 정보를 계산할 수 있습니다. 이 유형의 식은 사용자 특성이 사용자 디렉터리에서 고유하게 참조되지 않는 경우에 사용합니다. 이 경우 사용자 특성은 특성과 비즈니스 논리에 의해 설정된 다른 기준을 사용하여 계산되어야 합니다.
사용자 클래스는 사용자가 지정된 클래스의 구성원일 경우 TRUE 값을 반환하고 그렇지 않을 경우 FALSE 값을 반환하는 식을 명명합니다.
사용자 클래스는 "at" 기호(@)로 시작합니다. @ 기호는 이름이 사용자 특성 이름 및 매핑과 충돌하지 않도록 하며 해당 사용자 특성 값이 계산된다는 것을 시각적으로 알려 줍니다.
사용자 클래스 식에는 다음 항목이 포함될 수 있습니다.
- 사용자 특성(디렉터리별 특성 또는 매핑된 특성)
- 다른 명명된 식에 대한 참조
- Single Sign-On기본 제공 함수 및 식 구문
casso126kkr
참고:
명명된 식은 응용 프로그램 개체에서만 사용할 수 있습니다. 명명된 식은 응답 및 규칙과 같은 도메인 개체를 사용하여 정의된 기존 보안 정책에는 사용할 수 없습니다
.사용자 클래스는 역할이 아닙니다. 역할은 EPM(Enterprise Policy Management)의 기능입니다. 역할에 사용자 클래스를 사용할 수는 있지만 역할에는 추가 정보가 연결됩니다. 역할에 대한 자세한 내용은 "EPM(Enterprise Policy Management)"을 참조하십시오.
사용자 클래스 사용 사례
이 사용 사례에서는 두 개의 LDAP 사용자 디렉터리가 서로 다른 기본 스키마를 사용하여 관리자 그룹의 구성원을 식별하는 기본 시나리오를 보여 줍니다.
다음 그림에서는 사용자 특성 매핑을 통해 서로 다른 사용자 디렉터리에 있는 사용자에 대해 사용자 클래스
@Admin
이 계산되는 방식을 보여 줍니다. 사용자 특성 매핑을 사용하면 하나의 일반 이름을 서로 다른 사용자 디렉터리에 있는 다양한 사용자 특성 이름에 매핑할 수 있습니다.
- 두 사용자 디렉터리는 관리자 그룹의 구성원을 서로 다르게 식별합니다. 사용자 특성 매핑을 생성하여 이러한 정보의 공통 보기를 생성할 수 있습니다.
- IsAdmin은 디렉터리 A의 관리자 그룹에 있는 구성원을 식별하는 기본 디렉터리 스키마에 매핑됩니다.
- IsAdmin은 디렉터리 B의 관리자 그룹에 있는 구성원을 식별하는 기본 디렉터리 스키마에 매핑됩니다.
- @Admin은Single Sign-On이 두 디렉터리에 있는 사용자가 관리자인지 확인하기 위해 평가하는 사용자 클래스 유형의 명명된 식입니다.(IsAdmin)
- (IsAdmin) 식을 반복해서 입력하는 대신@Admin이라는 사용자 클래스를 생성하고 이를 (IsAdmin)으로 정의할 수 있습니다. 그런 다음 이 식이 필요할 때마다@Admin을 입력하면 됩니다.
사용자 클래스 정의
사용자 클래스 특성을 정의하여 하나 이상의 사용자 디렉터리에서 고유하게 참조하지 않는 사용자 정보를 계산할 수 있습니다. 가능한 계산 결과는 TRUE 또는 FALSE입니다. 결과는 사용자에게 적용되거나 적용되지 않습니다.
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다.다음 단계를 수행하십시오.
- "정책", "식"을 차례로 클릭합니다.
- "명명된 식"을 클릭합니다.
- "명명된 식 만들기"를 클릭합니다.
- "새 개체 만들기" 옵션이 선택되어 있는지 확인하고 "확인"을 클릭합니다.
- "사용자 클래스" 옵션을 선택하고 "일반" 영역에서 식의 이름을 입력합니다.
- "명명된 식 추가" 영역의 "식" 필드에 식을 입력합니다.참고:식은 부울 식이어야 합니다.
- (선택 사항) "명명된 식 추가" 영역에서 "사용 안 함" 옵션을 선택하여 식을 비활성화합니다. 비활성화된 식은 식 편집기에 나열되지 않으며 다른 명명된 식이나 명명되지 않은 식이 이 식을 호출할 수 없습니다.
- (선택 사항) "명명된 식 추가" 영역에서 "개인" 옵션을 선택합니다. 다른 명명된 식만 개인 식을 호출할 수 있습니다. 명명되지 않은 식은 개인 식을 호출할 수 없습니다.
- (선택 사항) "명명된 식 추가" 영역에서 "편집"을 클릭하여 식 편집기를 엽니다.
- 제출을 클릭합니다.명명된 식이 생성됩니다.
식 편집기 사용 방법
식 편집기를 사용하여 다음과 같은 작업을 수행할 수 있습니다.
- 함수, 연산자 및 사용자 정의 명명된 식 조회
- 부울 식 작성
참고:
식을 직접 입력하려는 경우 "취소"를 클릭하고 "Create Expression: Name
(식 만들기: 이름) 창으로 돌아가 "명명된 식 추가" 그룹 상자의 "식" 필드에 식을 입력할 수 있습니다.식 편집기에서 부울 식을 작성하는 과정은 2 단계로 이루어집니다. 단계를 순서에 관계없이 반복할 수도 있습니다.
- 조건 만들기
- 식 편집
부울 식 작성 과정의 1 단계에서는 조건을 생성하여 "중위 표기법" 그룹 상자에 추가합니다.
조건
은 함수 또는 연산 하나로 구성된 간단한 부울 식입니다. 편집기에서는 다음과 같은 형식으로 함수에 최대 세 개의 매개 변수를 사용할 수 있습니다.FUNCTION_NAME(parameter_1[, parameter_2][, parameter_3])
연산에는 피연산자 두 개가 필요하며 형식은 다음과 같습니다.
left_operand operator right_operand
조건은 부울 식이므로 부울 값을 반환합니다. 조건에 문자열을 반환하는 함수나 연산이 포함된 경우에는 결과가 부울 값으로 변환됩니다. 다시 말해, "TRUE", "true", "YES" 및 "yes"는 TRUE로 변환됩니다. 다른 모든 문자열 값은 FALSE로 변환됩니다.
마찬가지로, 조건에 숫자를 반환하는 함수나 연산이 포함된 경우에도 결과가 부울 값으로 변환됩니다. 0이 아닌 모든 숫자는 TRUE로 변환되고 0은 FLASE로 변환됩니다.
각 조건은 다음과 같이 "중위 표기법" 그룹 상자의 필드에 한 줄에 하나씩 표시되고 부울 연산자 한 개 또는 두 개를 사용하여 위의 줄에 있는 조건에 연결됩니다.
condition_1 AND | OR | XOR [NOT] condition_2
부울 식 작성 과정의 2 단계에서는 "중위 표기법" 그룹 상자의 필드에서 조건을 수정 및 삭제하고, 조건을 그룹화하는 괄호를 변경하고, 조건을 연결하는 부울 연산자를 변경하여 식을 편집할 수 있습니다. 예를 들어 다음과 같이 조건이 그룹화되는 방식을 변경할 수 있습니다.
(condition_1 AND condition_2) OR NOT condition_3
위 조건을 다음과 같이 변경할 수 있습니다.
condition_1 AND (condition_2 OR NOT condition_3)
함수를 포함하는 조건 만들기
식 편집기에서 기본 제공
Single Sign-On
함수를 포함하는 조건을 생성하여 식에 추가할 수 있습니다.다음 단계를 수행하십시오.
- "식 편집기" 창의 "조건" 그룹 상자에 있는 함수 드롭다운 목록에서 이름을 선택하거나 "함수" 필드에 이름을 입력합니다.
- "명명된 식"을 클릭하거나 "조건" 그룹 상자의 "첫 번째 매개 변수" 필드에 직접 입력하는 방법으로 첫 번째 매개 변수를 지정합니다.참고:"명명된 식"을 클릭하면 "변수 조회" 그룹 상자가 열립니다.
- (선택 사항) "명명된 식"을 클릭하거나 "조건" 그룹 상자의 "두 번째 매개 변수" 필드에 직접 입력하는 방법으로 두 번째 매개 변수를 지정합니다.참고:"명명된 식"을 클릭하면 "변수 조회" 그룹 상자가 열립니다.
- (선택 사항) 드롭다운 목록에서 "TRUE" 또는 "FALSE"를 선택하거나 "조건" 그룹 상자의 "마지막 매개 변수" 필드에 직접 입력하는 방법으로 마지막 매개 변수를 지정합니다.
- "추가"를 클릭합니다.지정한 함수가 "중위 표기법" 및 "결과 표기법" 그룹 상자에 추가됩니다.
연산을 포함하는 조건 만들기
식 편집기에서 기본 제공
Single Sign-On
연산을 포함하는 조건을 생성하여 식에 추가할 수 있습니다.다음 단계를 수행하십시오.
- "식 편집기" 창의 "조건" 그룹 상자에 있는 드롭다운 목록에서 연산자 유형과 연산자를 선택합니다.
- "명명된 식"을 클릭하거나 "조건" 그룹 상자의 "Left Operand"(왼쪽 피연산자) 필드에 직접 입력하는 방법으로 왼쪽 피연산자를 지정합니다.
- "명명된 식"을 클릭하거나 "조건" 그룹 상자의 "Right Operand"(오른쪽 피연산자) 필드에 직접 입력하는 방법으로 오른쪽 피연산자를 지정합니다.
- "추가"를 클릭합니다.지정한 연산이 "중위 표기법" 및 "결과 표기법" 그룹 상자에 추가됩니다.
식을 편집하는 방법
식 편집기에서 생성하는 각 조건은 "중위 표기법" 그룹 상자의 필드에 한 줄에 하나씩 표시됩니다. 식을 작성할 때 "중위 표기법" 그룹 상자의 단추를 사용하여 조건을 그룹화하는 괄호와 조건을 연결하는 부울 연산자를 변경할 수 있습니다.
식을 편집하는 과정은 3 단계로 이루어집니다. 첫 번째 단계에는 네 개의 옵션이 포함되며 이러한 옵션을 순서에 관계없이 반복할 수 있습니다.
- 옵션을 선택합니다.
- 식에 포함된 조건 수정
- 식에서 조건 삭제
- 식에 포함된 조건 그룹화
- 식에 포함된 부울 연산자 변경
- (선택 사항) 1 단계를 반복합니다.
- "확인"을 클릭하여 식 편집기를 닫습니다.
식에 포함된 조건 수정
식 편집기에서 "중위 표기법" 그룹 상자의 "수정" 단추를 클릭하여 식에 포함된 조건을 수정할 수 있습니다.
식에 포함된 조건을 수정하려면
- 조건을 클릭하여 선택합니다.
- "수정"을 클릭합니다."편집" 그룹 상자가 열리고 그룹 상자에 조건이 표시됩니다.
식에서 조건 삭제
식 편집기에서 "중위 표기법" 그룹 상자의 "제거" 단추를 클릭하여 식에서 조건을 하나 이상 삭제할 수 있습니다.
식에서 조건을 삭제하려면
- 조건을 클릭하여 선택합니다.참고:인접한 조건을 여러 개 선택하려면 Shift 키를 누른 채 조건을 클릭하십시오.
- "제거"를 클릭합니다.선택한 조건이 식에서 제거됩니다.참고:조건을 여러 개 선택한 경우 "제거"를 클릭하면 조건이 한 번에 하나씩 삭제됩니다.
식에 포함된 조건 그룹화
식 편집기의 "중위 표기법" 그룹 상자에서 괄호를 추가하고 제거하는 단추를 클릭하여 식에 포함된 조건 그룹을 변경할 수 있습니다.
식에 포함된 조건 그룹을 변경하려면
- 인접한 조건을 둘 이상 클릭하여 선택합니다.참고:인접한 조건을 여러 개 선택하려면 Shift 키를 누른 채 조건을 클릭하십시오.
- 다음 두 단추 중 하나를 클릭합니다.( )선택한 조건의 외부에 괄호를 추가합니다.예:condition_1AND condition_2위 조건이 다음과 같이 변경됩니다.(condition_1AND condition_2)( ) 제거선택한 조건의 외부에서 괄호를 삭제합니다.예:(condition_1OR condition_2OR condition_3)위 조건이 다음과 같이 변경됩니다.condition_1OR condition_2OR condition_3편집한 식이 식 편집기의 "결과 표기법" 및 "중위 표기법" 그룹 상자에 있는 필드에 표시됩니다.
식에 포함된 부울 연산자 변경
식 편집기의 "중위 표기법" 그룹 상자에서 다음 단추 중 하나를 클릭하여 식에 포함된 부울 연산자를 변경할 수 있습니다.
- And/Or
- Not
- XOR
- 조건부?예:아니요
다음 단계를 수행하십시오.
- 조건 또는 조건 그룹을 하나 클릭하여 선택합니다.참고:인접한 조건을 여러 개 선택하려면 Shift 키를 누른 채 조건을 클릭하십시오.
- 다음 단추 중 하나를 클릭합니다.And/Or부울 연산자 AND와 OR 사이에서 전환합니다.예:AND condition_1위 조건이 다음과 같이 변경됩니다.OR condition_1참고:AND/OR 단추를 사용할 경우 XOR는 AND로 전환됩니다.Not부울 연산자 NOT의 추가 동작과 제거 동작 사이에서 전환합니다.예:AND condition_1위 조건이 다음과 같이 변경됩니다.AND NOT condition_1XOR부울 연산자 AND와 OR를 XOR로 전환합니다.예:AND condition_1위 조건이 다음과 같이 변경됩니다.XOR condition_1참고:배타적 OR(XOR) 연산자는 부울 피연산자를 두 개 사용하며, 두 피연산자 중 하나만 TRUE일 경우에 TRUE를 반환합니다.조건부?예:아니요조건부 결정 연산자를 추가합니다.예:condition_1위 조건이 다음과 같이 변경됩니다.condition_1 ? "YES" : "NO"편집한 식이 식 편집기의 "결과 표기법" 및 "중위 표기법" 그룹 상자에 있는 필드에 표시됩니다.
명명된 식 적용
이 사용 사례의 시나리오에서는 한 소매 의류업체가 신용 한도에 도달하거나 이를 초과한 고객에 대해 웹에서 신용 구매를 할 수 없도록 하는 역할을 정의하려고 한다고 가정합니다. 회사 정책에 고객의 신용 한도는 1,000 달러로, 직원의 신용 한도는 2,000 달러로 명시되어 있습니다.
이 사용 사례의 환경에는 사용자 디렉터리가 두 개 있습니다.
- 디렉터리 A에는 직원이 저장됩니다. 직원은 고객이 될 수도 있습니다. 따라서 디렉터리 A는 직원이면서 동시에 cn=Customers,ou=Groups,o=acme.com의 구성원인 고객을 식별합니다.
- 디렉터리 B에는 고객만 저장됩니다. 모든 사용자가 고객이 되므로 디렉터리 B에는 고객을 식별하는 사용자 특성이 없습니다.
다음 절차에서는 특성 매핑, 가상 사용자 특성 및 사용자 클래스를 사용하여 회사의 신용 정책을 충족하는 방법을 자세히 설명합니다.
- 각 사용자 디렉터리에 대해 사용자 특성 매핑을 생성하고 고객을 식별하는 유니버설 스키마 또는 일반 이름을 생성합니다.
- 디렉터리 A(직원)에 대해그룹 이름특성 매핑을 생성합니다.
- 매핑의 이름을IsCustomer로 지정합니다.
- IsCustomer를cn=Customers,ou=Groups,o=acme.com으로 정의합니다.
- 디렉터리 B(고객)에 대해상수특성 매핑을 생성합니다.
- 매핑의 이름을IsCustomer로 지정합니다.
- IsCustomer를TRUE로 정의합니다.
참고:IsCustomer는 디렉터리 A와 B의 동일한 사용자 정보에 매핑되는 일반 이름입니다. 이 정보에 액세스하려면 식에 IsCustomer를 사용하면 됩니다.
- 각 사용자 디렉터리에 대해상수특성 매핑을 생성하고 회사의 신용 한도를 식별하는 유니버설 스키마 또는 일반 이름을 생성합니다.
- 디렉터리 A(직원)에 대해상수특성 매핑을 생성합니다.
- 매핑의 이름을CreditLimit로 지정합니다.
- CreditLimit를2000으로 정의합니다.
- 디렉터리 B(고객)에 대해상수특성 매핑을 생성합니다.
- 매핑의 이름을CreditLimit로 지정합니다.
- CreditLimit를1000으로 정의합니다.
참고CreditLimit는 디렉터리 A와 B의 동일한 사용자 정보에 매핑되는 일반 이름입니다. 이 정보에 액세스하려면 식에 CreditLimit를 사용하면 됩니다.
- #CreditBalance는 계정 데이터베이스에서 사용자의 신용 잔액을 가져오는 가상 사용자 특성이라고 가정합니다.
- 고객의 신용 잔액이 신용 한도 미만인 경우 TRUE 값을 반환하는 사용자 클래스를 생성합니다.
- 사용자 클래스의 이름을@IsUnderCreditLimit로 지정합니다.
- @IsUnderCreditLimit를 다음과 같이 정의합니다.(IsCustomer AND (#CreditBalance < CreditLimit))참고:이 식은Single Sign-On식의 구문 규칙을 따릅니다.
- 고객의 신용 잔액이 신용 한도 미만인 경우 웹 기반 구매를 할 수 있도록 하는 EPM 역할을 생성합니다.
- 역할의 이름을PurchaseWithCredit로 지정합니다.
- 역할을@IsUnderCreditLimit로 정의합니다.